遵循以下工作流程来管理组织中的应用程序严重性风险。
了解如何在应用程序中测试识别的漏洞。
这些场景的目标是开发人员和安全团队。选择与您的情况最准确匹配的用户角色。
安全团队可以通过 AppScan Standard 授权的扫描配置创建模板。
了解如何创建应用程序清单。
了解如何从第三方扫描程序导入问题。
安全团队(其成员具有管理员特权)通过使用他们在 AppScan Standard 中制作的扫描配置来创建模板。然后,扫描模板文件可用于 AppScan Enterprise 中。开发人员(具有 QuickScan 用户特权)在创建扫描时选取模板,并使用新的 AppScan Dynamic Analysis Client 中的向导来完成扫描创建。当他们需要修订扫描配置时,使用相同的客户机。
开发人员团队使用不同的方法以及 AppScan 中的用户界面创建扫描模板。
此主题有助于安全团队了解如何创建扫描模板。
了解如何创建扫描。
作为安全分析人员,您可能必须帮助开发人员编辑他们创建的基本扫描。在 AppScan Dynamic Analysis Client 中,您可以看到开发人员不能看到的扫描配置选项。
“页面结构 (DOM) 过滤”可通过识别与已扫描页面足够相似的页面来极大地减少扫描时间,因为这样就可忽略这些页面。AppScan 将新页面与已扫描的页面进行比较以发现结构方面 (DOM) 的相似性,这指示新页面不包含新链接或包含不需要更多测试的内容。例如,在商业站点上,可能有一个目录,目录中的各个页面包含了数千个不同项但这些项在所有其他方面都是相同的。通常不需要扫描所有这些页面。根据 DOM 相似性进行过滤可极大地减少扫描时间。
如果您具有基于 AppScan® Standard 中的扫描模板 (*.scant) 的现有内容扫描,那么可转换扫描配置,以便可在 AppScan Dynamic Analysis Client 中直接进行编辑。但是,在转换扫描配置后,可在 AppScan Standard 中再次将其打开。
了解如何在 AppScan Enterprise 中运行和调度作业。
导出扫描属性并根据这些属性创建新扫描。此方法用于在两个 Enterprise Console 实例之间复制扫描。
有三种方法可供您用于停止正在运行的作业。每种方法在不同的原因下使用,这在很大程度上取决于您是希望保留数据,还要希望从作业停止的地方继续运行作业。您可以恢复暂挂的作业,从停止的地方继续扫描。恢复的作业由任何可用代理进程服务器上的下一个空闲代理程序处理。
了解如何确定风险,以及对在应用程序中识别的漏洞划分优先级。
了解如何修复在应用程序中识别的漏洞。
了解如何度量进度和获得合规性证明。